🔐
Documento de Seguridad y Privacidad de Datos
Versión 3.0 — Abril 2026 | ClickPyme SAS | clickpyme.app
Audiencia: Socios, inversionistas, clientes empresariales, alianzas estratégicas (COPARMEX, cámaras de comercio), y cualquier parte que evalúe la postura de seguridad de ClickPyme.
1. Resumen Ejecutivo
ClickPyme es una plataforma SaaS multi-tenant que procesa datos operativos, financieros, fiscales y de nómina de micro y pequeños negocios en México. Implementamos medidas técnicas, organizacionales y legales para proteger la información conforme a la LFPDPPP vigente (21 de marzo de 2025).
Ecosistema protegido: 20 módulos incluyendo POS, inventario, finanzas, nómina, CFDI, impuestos (ClickImpuestos), marketplace (ClickMerca), entregas (ClickEnvíos), WhatsApp, CRM, cotizaciones, marketing, formalización legal, y 11 agentes de inteligencia artificial.
2. Infraestructura y Certificaciones
| Componente | Certificaciones | Región |
|---|---|---|
| Hosting y CDN | SOC 2 Type II, ISO 27001 | Global (edge) |
| Base de datos | SOC 2 Type II, ISO 27001 | Norteamérica |
| Motor de IA | SOC 2 Type II | Estados Unidos |
| Procesamiento de pagos | PCI DSS Level 1, CNBV | México |
| Mensajería y WhatsApp | ISO 27001, SOC 2 | Global |
| Facturación CFDI (PAC) | Autorizado por SAT | México |
| DNS y red de entrega | SOC 2 Type II, ISO 27001 | Global |
| Correo electrónico | Protocolos estándar de cifrado | Global |
3. Cifrado de Datos
| Capa | Tecnología | Detalle |
|---|---|---|
| Datos en tránsito | HTTPS / TLS 1.3 | Todo tráfico cifrado. HTTP rechazado. Aplica a API, webhooks e IA |
| Datos en reposo | AES-256 | Cifrado AES-256 aplicado a toda la base de datos |
| Certificados CSD | AES-256 + NOM-151 | Doble cifrado antes de almacenar. Referencia NOM-151-SCFI-2016 |
| Contraseñas de usuarios | bcrypt (factor 12) | Nunca texto plano. Hash irreversible |
| Tokens de sesión | JWT firmados | Expiración configurable. Revocación inmediata en logout |
| Backups | AES-256 | Cifrado antes de almacenar. Retención 30 días en producción |
4. Control de Acceso Multi-Tenant
La arquitectura multi-tenant de ClickPyme garantiza que cada negocio solo pueda ver y modificar sus propios datos:
- Row Level Security (RLS): Todas las tablas tienen políticas RLS que filtran por tenant_id — cada negocio solo accede a sus propios datos
- Autenticación: JWT con expiración automática. Sesiones revocadas al cerrar sesión
- Roles diferenciados: Dueño (acceso total), Administrador, Cajero (solo POS), con permisos granulares
- PIN de cajero: Para operaciones sensibles en POS. Almacenado con hash seguro
- Multi-sucursal: Acceso restringido por sucursal según configuración del dueño
5. Datos Sensibles
| Dato | Protección aplicada |
|---|---|
| CSD (.cer/.key) | AES-256 adicional + NOM-151-SCFI-2016. Solo accesible vía API de timbrado |
| Datos fiscales ClickImpuestos | RFC, ISR/IVA estimados: acceso solo al dueño del tenant |
| Nómina y sueldos | Acceso solo con rol dueño o administrador autorizado |
| Fotos de asistencia (empleados) | Almacenadas en almacenamiento privado. No accesibles públicamente |
| Ubicación GPS mensajeros | Solo durante entregas activas. No se almacena historial GPS |
| Contraseñas | bcrypt irreversible. Nunca se muestran ni transmiten en texto plano |
6. Disponibilidad y Continuidad
- Uptime objetivo: 99.9% mensual (ver SLA completo en clickpyme.app/sla)
- Backups automáticos cada 24 horas, retención de 30 días
- Modo offline en ClickFlux (POS): funciona sin internet, sincroniza al reconectarse
- Red de distribución global para baja latencia en México y Latinoamérica
- Mantenimiento programado: preferentemente domingos 22:00-06:00 CDMX con aviso 24h
7. Respuesta a Incidentes
En caso de brecha de seguridad que afecte datos personales:
- Notificación a usuarios afectados dentro de las 72 horas de detección
- Notificación a la Secretaría de Anticorrupción y Buen Gobierno si corresponde
- Reporte de incidente con descripción, datos afectados y medidas correctivas
Para reportar vulnerabilidades: hola@clickpyme.com con asunto "SEGURIDAD — VULNERABILIDAD"
8. Cumplimiento Legal
- LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares)
- NOM-151-SCFI-2016 (para CSD y firma electrónica)
- Reglamento de la LFPDPPP
- Lineamientos del SAT para PAC autorizado (Finkok)
- Estándares PCI DSS a través de MercadoPago para procesamiento de tarjetas
Versión: 3.0 — Abril 2026
Seguridad: hola@clickpyme.com (asunto: SEGURIDAD)
Privacidad: privacidad@clickpyme.com